Le 19 mars 2024, une équipe de recherche dirigée par le professeur Christian Rossow du Centre CISPA Helmholtz pour la sécurité de l'information en Allemagne a dévoilé un menace importante pour la sécurité. Cette menace exploitait une vulnérabilité répandue trouvée dans les services de couche application qui utilisent le protocole UDP (User Datagram Protocol). Suivi via l'identifiant CVE-2024-2169, cette vulnérabilité représentait un risque sérieux pour la stabilité et la sécurité de nombreux systèmes.
Détails de l'attaque DoS en boucle
Le vecteur d'attaque, tel que détaillé par les chercheurs, impliquait le manipulation de datagrammes UDP pour créer une boucle perpétuelle entre serveurs vulnérables. En créant une charge utile spécifique, les attaquants pourraient provoquer une réponse d'erreur d'un serveur vulnérable, l'incitant à envoyer un datagramme d'échec à un autre serveur vulnérable. Cet échange se poursuivrait indéfiniment, submergeant les systèmes impliqués. Il est important de noter que la nature de la communication UDP a permis à cette boucle de persister, sans être affectée par le limiteur de nombre de sauts IP Time-to-Live (TTL).
Pour exécuter cette attaque, l'agresseur devait identifier au moins un système vulnérable supplémentaire exécutant le même service que la cible. En usurpant l'adresse IP source de la requête initiale, l'attaquant pourrait tromper la victime en lui faisant répondre à un autre serveur vulnérable, initiant ainsi la boucle. Ce processus pourrait être amplifié par la création de multiples boucles entre différents systèmes vulnérables, conduisant potentiellement à un effet de cascade capable de surcharger la cible.
Les services concernés englobaient un large éventail de protocoles largement déployés, notamment DNS, TFTP, NTP, Écho, Chargé, ainsi QOTD. La vulnérabilité de NTP affectait principalement les systèmes utilisant des versions obsolètes de ntpd antérieures à 2010. De plus, les protocoles existants tels que Echo, Chargen, QOTD, Time, Daytime et Active Users se sont révélés intrinsèquement vulnérables. Alors que TFTP et DNS étaient encore à l'étude, les chercheurs ont souligné la nécessité d'une contribution supplémentaire de la part des opérateurs de systèmes vulnérables pour bien comprendre l'étendue de leurs vulnérabilités.
Les implications de cette vulnérabilité étaient préoccupantes en raison de la nature apatride de l'UDP, qui rendait les services légitimes susceptibles d'être abusés attaques DDoS par amplification volumétrique. Avec l’ajout des attaques DoS en boucle, le potentiel de perturbation et de dommages a considérablement augmenté. Les chercheurs ont estimé qu'environ 300,000 XNUMX hébergeurs Internet étaient vulnérables pour boucler les attaques DoS.
Systèmes vulnérables au DoS en boucle
La détection des systèmes vulnérables est devenue impérative pour atténuer le risque posé par cette vulnérabilité. Les chercheurs du CISPA développé un outil pour scanner et identifier les systèmes sensibles aux charges utiles d'attaque qu'ils avaient découvertes. Cet outil a fourni un moyen d'évaluer et de traiter la vulnérabilité, en particulier pour les services tels que DNS, TFTP et NTP, pour lesquels les charges utiles d'attaque ont été définies dans le simple_verify.py Script Python.
Protection contre les DoS en boucle
Les recommandations incluent la minimisation de l'exposition des services basés sur UDP, la garantie de correctifs de sécurité en temps opportun et la mise en œuvre de mesures de protection robustes contre les abus et les activités anormales.
Exécution Protection DDoS solutions, telles que RELIANOID IPDS, sont nécessaires pour maintenir la sécurité de nos services :
Défense DDoS hybride: combinez une protection sur site et basée sur le cloud pour vous défendre contre les attaques DDoS en temps réel. Cette stratégie répond à la fois aux agressions à grande échelle et évite la saturation du réseau.
Détection des anomalies comportementales: Utilisez des systèmes de détection avancés pour identifier et bloquer rapidement les comportements réseau inhabituels tout en permettant au trafic légitime de circuler sans interruption.
Génération rapide de signatures: Générez des signatures de sécurité en temps réel pour vous défendre rapidement contre les menaces inconnues et les attaques Zero Day, améliorant ainsi la sécurité globale du réseau.
Planification des interventions d'urgence en matière de cybersécurité: Mettre en place une équipe spécialisée équipée pour gérer les urgences en matière de cybersécurité, notamment celles liées aux failles de sécurité de l'Internet des objets (IoT).
Intelligence des acteurs menaçants: Utilisez une analyse complète des données pour identifier et atténuer de manière proactive les menaces posées par les attaquants connus, renforçant ainsi la résilience du réseau face à l'évolution des risques de cybersécurité.
RELIANOID ADC contre les attaques DoS en boucle
RELIANOID ADC propose des solutions robustes qui peuvent aider à protéger et à atténuer les systèmes contre les attaques DoS (Denial of Service) en boucle. L’une des principales méthodes consiste à inspecter le trafic et à utiliser des capacités de filtrage intelligentes. RELIANOID équilibreur de charge et contrôleur de livraison d'applications (ADC) peut analyser les modèles de trafic entrant et détecter les anomalies indiquant une attaque DoS en boucle. En identifiant et en bloquant le trafic malveillant, ces systèmes empêchent la perpétuation de la boucle entre les serveurs vulnérables.
En outre, RELIANOID L'ADC inclut souvent des fonctionnalités telles que la limitation du débit et la limitation des connexions. Ces fonctionnalités peuvent aider à empêcher l’amplification des attaques DoS en boucle en limitant la vitesse à laquelle les demandes sont traitées ou les connexions sont établies. En imposant des limites au volume de trafic ou à la fréquence des demandes provenant de sources individuelles, RELIANOID Les solutions LB peuvent atténuer l’impact des attaques DoS en boucle et garantir la stabilité et la disponibilité des systèmes.
De plus, RELIANOID les produits prennent généralement en charge des mécanismes granulaires de contrôle d’accès et d’authentification. En appliquant des politiques d'accès strictes et en vérifiant la légitimité des demandes entrantes, ces solutions peuvent bloquer efficacement le trafic non autorisé tentant d'exploiter les vulnérabilités et de lancer des attaques DoS en boucle. De plus, des fonctionnalités avancées de journalisation et de reporting fournies par RELIANOID Les plates-formes permettent aux administrateurs de surveiller de près l'activité du réseau, facilitant ainsi la détection précoce et la réponse aux menaces potentielles, y compris les attaques DoS en boucle.
Dans l'ensemble, RELIANOID La suite complète d'ADC de solutions d'équilibrage de charge et de fourniture d'applications offre aux organisations les moyens d'améliorer leur posture de cybersécurité et de se défendre contre les attaques DoS en boucle en tirant parti de l'analyse intelligente du trafic, de la limitation du débit, du contrôle d'accès et de solides capacités de journalisation. Contact avec nos experts en sécurité.
Articles de blog associés
